Avis du Contrôleur européen de la
protection des données sur : i) la communication
conjointe de la Commission et de la haute représentante de
lUnion européenne pour les affaires étrangères
et la politique de sécurité intitulée
«Stratégie de cybersécurité de lUnion
européenne: un cyberespace ouvert, sûr et
sécurisé» et ii) sur la proposition de directive de
la Commission concernant des mesures destinées à assurer
un niveau élevé commun de sécurité des
réseaux et de linformation dans lUnion.
Le CEPD se félicite de la présentation
dune stratégie globale de cybersécurité et se
réjouit du fait que la stratégie aille au-delà de
lapproche traditionnelle consistant à opposer
sécurité et respect de la vie privée en
prévoyant une reconnaissance explicite du respect de la vie
privée et de la protection des données en tant que
valeurs essentielles.
Le CEPD constate toutefois que, du fait quelle
ne prenne pas pleinement en considération dautres
initiatives parallèles de la Commission et dautres
procédures législatives en cours, comme la réforme
de la protection des données et la proposition de
règlement sur lidentification électronique et les
services de confiance, la stratégie de cybersécurité
noffre pas de vision véritablement complète et
globale de la cybersécurité au sein de lUnion
et risque de perpétuer une approche
fragmentée.
Le CEPD a formulé les recommandations
suivantes :
Stratégie de
cybersécurité :
- il serait judicieux de disposer dune
définition claire et restrictive de la
«cybercriminalité» plutôt que dune
définition trop étendue ;
- la législation sur la protection des données
devrait sappliquer à toutes les actions de la
stratégie, dès lors quelles concernent des mesures
comprenant le traitement de données à caractère
personnel ; cest notamment le cas de nombreuses actions
qui consistent en la mise en place de mécanismes de
coopération ;
- en tant quorganes de surveillance, les
autorités chargées de la protection des données
(APD) devraient dès être suffisamment associées
à la mise en uvre de mesures ayant trait au traitement
de données à caractère personnel (comme le lancement
du projet pilote de lUE consacré à la lutte contre
les réseaux zombies et les logiciels
malveillants).
Directive sur la sécurité des réseaux
et de linformation :
- introduire plus de clarté et de
sécurité en dressant une liste exhaustive reprenant tous
les acteurs du marché concernés, afin de garantir une
approche pleinement harmonisée et intégrée de la
sécurité au sein de lUE;
- prévoir explicitement que la directive devrait
sappliquer sans préjudice des règles plus
détaillées, existantes ou futures, dans des domaines
spécifiques (comme celles qui seront définies concernant
les fournisseurs de services de confiance dans la proposition de
règlement sur lidentification
électronique);
- ajouter un considérant pour expliquer la
nécessité dinsérer la protection des
données dès la conception et par défaut à un
stade précoce de la conception des mécanismes
établis dans la proposition ;
- préciser que le traitement des données
à caractère personnel serait justifié dans la mesure
où il est nécessaire pour atteindre les objectifs
dintérêt public poursuivis par la directive
proposée ;
- définir les circonstances dans lesquelles une
notification et préciser si la notification et ses documents
justificatifs incluront ou non des détails sur les
données à caractère personnel (comme les adresses
IP) affectées par un incident de sécurité
spécifique ;
- faire en sorte que lexclusion des
micro-entreprises du champ dapplication de la notification ne
sapplique pas aux acteurs qui jouent un rôle crucial
dans la fourniture de services de la société de
linformation, compte tenu notamment de la nature des
informations quils traitent (des données
biométriques ou des données sensibles, par
exemple);
- ajouter à la proposition des dispositions
régissant léchange ultérieur de données
à caractère personnel par les autorités
compétentes en matière de SRI avec dautres
destinataires, afin de garantir que les données ne soient
divulguées quà des destinataires dont le traitement
est nécessaire à laccomplissement de leur
mission ;
- définir le délai applicable à la
conservation des données à caractère
personnel;
- rappeler aux autorités compétentes leur
obligation de fournir une information appropriée aux personnes
concernées sur le traitement des données à
caractère personnel, par exemple en publiant leur politique en
matière de respect de la vie privée sur leur site
web;
- ajouter une disposition relative au niveau de
sécurité que les autorités compétentes en
matière de SRI doivent respecter en ce qui concerne les
informations collectées, traitées et
échangées ;
- préciser que des critères relatifs à la
participation des États membres au système
sécurisé déchange dinformations
devraient assurer quun niveau élevé de
sécurité soit garanti par tous les participants aux
systèmes déchange dinformations à toutes
les étapes du traitement ;
- ajouter une description des rôles et
responsabilités de la Commission et des États membres
dans la création, lexploitation et la maintenance du
système sécurisé déchange
dinformation ;
- préciser que tout transfert de données
à caractère personnel vers des destinataires situés
en dehors de lUE doit être conforme à la directive
95/46/CE et au règlement (CE) n° 45/2001.